Rietspoof is een nieuwe vorm van malware die momenteel in het wild wordt gedistribueerd via Facebook Messenger en Skype. De malware werd ontdekt door Avast, en wordt beschreven als een multi-stage bedreiging die bestandsformaten combineert met een “veelzijdiger malware” te creëren.
natuur De malware is dropper, ook bekend als downloader, wat betekent dat de laatste infectie stadium zeker iets slechter zal te downloaden op geïnfecteerde hosts.
Hoewel de malware werd gespot voor de eerste keer in augustus vorig jaar, Het trok de aandacht van security onderzoekers vorige maand toen het aantal infecties groter groeiden.
Wat is het doel van Rietspoof Malware?
De malware is gericht op de slachtoffers te infecteren, krijgen persistentie op de getroffen systemen, en [wplinkpreview url =”https://sensorstechforum.com/remove-trojan-downloader-dde-gen-pc-october-2017/”]downloaden meer malware volgens de instructies die hij van de command and control-server.
Rietspoof's infectie pad bevat verschillende stadia, en combineert verschillende bestandsformaten, met het enige doel om veelzijdiger malware te leveren.
De gegevens van de onderzoekers suggereert dat de eerste fase werd geleverd via instant messaging clients, zoals Skype of Messenger. De malware levert een sterk versluierd Visual Basic Script met een hard-coded en gecodeerde tweede fase - een CAB-bestand. “Het CAB-bestand wordt uitgebreid tot een uitvoerbaar bestand dat digitaal is ondertekend met een geldige handtekening, meestal met behulp van Comodo CA”, in het verslag staat.
Hoe werkt de malware te krijgen persistentie? Door het plaatsen van een LNK-bestand (kortere weg) in de map Windows / Startup. Meestal anti-virus oplossingen voor het toezicht op deze map, maar de malware is ook ondertekend met legitieme certificaten dus het omzeilen van veiligheidscontroles.
Zoals eerder vermeld, het infecteren van Rietspoof bestaat uit verschillende fasen, en malware zelf valt de derde fase. De laatste fase omvat de verdeling van een krachtige malware stam.
Rietspoof malware-aanvallen Likely Gerichte
Het rapport benadrukt dat de C&C server communiceert alleen met IP-adressen in te stellen naar de VS waardoor onderzoekers geloven dat ze een specifiek gerichte aanval hebben vastgesteld. Een andere optie is dat de aanvallers alleen gebruik maakt van de VS IP-bereik voor het testen van redenen. Bovendien, is het mogelijk dat er nog meer stappen die nog niet zijn geopenbaard, het rapport wordt geconcludeerd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: